FRITZ!Box | Cable im BridgeModus und Zugriff auf die WebGUI

Ihr nutzt eine FRITZ!Box-Cable (6590, 6591, 6660) an eurem Kabel-Internet Zugang, betreibt diese im BridgeModus und wollt dennoch auf die FritzBox-WebGUI zugreifen - dann ist diese Anleitung ein Weg zum Ziel.

Warum wollen wir das?

Wen die FRITZ!Box-Cable (6590, 6591, 6660) im BridgeModus betrieben wird, verhält diese sich andere, aber im Normalbetrieb.

Das hat direkte Auswirkungen auf den Zugriff der WebGUI, da diese über den Bridge-Zugang aus dem internen Netz nicht mehr erreichbar ist.

Benötigt wird aber der Zugang z.b. dann, wenn man

• die Telefon-Komfort Funktion nutzt und auf Telefonbuch, Telefonie-Konfiguration usw. per WebGUI zugreifen will
• VoIP-Telefon im internen Netz betreiben will
• Smartphones mit FRITZ!Fon-App im WLan nutzen will, die auf den Telefon-Teil der FritzBox zugreifen müssen
• die FRITZ!Box ins SmartHome-System einbinden will ( IP-Symcon, ioBroker etc. )

ACHTUNG:

Meine Beschreibung bezieht sich ausschließlich auf FRITZ!Boxen, welche vom Kabel-Internet Provider (in den meisten Fällen Vodafone) bereit gestellt werden, den BridgeModus vom Provider konfiguriert haben und zusätzlich die Telefon-Komfort-Funktion gebucht / Aktiv ist !!!

Das Ganze ist am Beispiel meiner Installation und ohne Gewähr auf Funktion bei anderen Konstellationen.

Anpassungen an die eigenen Umgebungen muss jeder dann selber für sich umsetzen.

Grundvoraussetzungen:

• FRITZ!Box 6xxx Cable mit Provider-Seitig aktiviertem BridgeModus (in meinem Fall Mietgerät 6591 von Vodafone)
  • BridgeModus aktiv auf LAN-Port 2
  • Achtung - bei der FB6660 ändert sich die Zählreihenfolge der LAN-Ports beim BridgeModus
• Telefon-Komfort Funktion, dadurch erhält die FRITZ!Box zwei IPv4 Adressen (und IPv6, wenn aktiv), eine für Internet, eine für Telefonie, diese sind unabhängig voneinander
• UDMPro oder auch alternative. Router/Firewall, wie z.b. PfSense / OPNSense
  • Die Konfigurationsschritte bei einer PfSense / OPNSense sind ähnlich wie bei der UDMPro und können angepasst übernommen werden
• Erfahrung mit der Konfiguration von UniFi-System (ich gehe nicht im Detail auf die einzelnen Konfigurationsschritte ein)

Und wie geht das genau?

1. Einrichtung VLAN für Management-Netz, Telefonie und Privat-Netz (Auszug aus meiner VLAN-Konfiguration)

• Management-Netz
  • IP: 10.0.1.0/24
  • VLAN 1
  • Gateway: 10.0.1.1 (UDMPro)
  • DHCP-Pool: nicht vorhanden
  • DNS: (meine PiHole-IPs)
  • Switch-Profile: All
• Privat-Netz
  • IP: 10.0.20.0/24
  • VLAN 20
  • Gateway: 10.0.20.1 (UDMPro)
  • DHCP-Pool: 10.0.20.129-254
  • DNS: (meine PiHole-IPs)
  • Switch-Profil: Privat
• Telefonie-Netz
  • IP: 10.0.50.0/24
  • VLAN 50
  • Gateway: 10.0.50.1 (UDMPro)
  • DHCP-Pool: 10.0.50.129-254
  • DNS: (meine PiHole-IPs)
  • Switch-Profil: Telko

Das entsprechende Netz und die Switch-Profile müssen im Netzwerk-Controller angelegt werden.

• Vergabe IP-Adressen:
  • FRITZ!Box: 10.0.50.5
  • VoIP-Telefon: 10.0.50.10
  • PC / Notebook: 10.0.20.10

2. Vorbereitung der FRITZ!Box

Vorsichtsmaßnahme:

Backup der aktuellen Konfiguration erstellen und lokal speichern, falls etwas schief geht, kann man sich schnell man vom Zugang zur FRITZ!Box aussperren und da hilft bur noch ein Werks-Reset, siehe Anleitung bei AVM dazu

• PC direkt an die FRITZ!Box über LAN-1 anschließen (DHCP sollte aktiv sein auf beiden Seiten)
• Login auf die FRITZ!Box-WebGUI
• Aktivierung des BridgeModus

• Konfiguration der FRITZ!Box IP-Adresse (10.0.50.5)
• Am PC könnte es nun notwendig sein, das Netzwerk zu trennen und wieder zu verbinden, um eine neue IP zu bekommen.

• Anlegen einer statischen Route zurück in das eigene Netzwerk

Ich habe die Netzmaske 10.0.0.0/8 gewählt, das deckt alle Netze bei mir ab und es reicht eine Route, da ist jedem selber überlassen, wie groß er das Netz wählt.

ACHTUNG: dieser Schritt ist heikel, trägt man die falsche Route oder das falsche Gateway ein, sperrt man sich sehr schnell aus der FRITZ!Box aus und es hilft meist nur eine Werks-Reset (siehe daher Vorsichtsmaßnahme!)

Die Route wird benötigt, damit die FRITZ!Box Anfragen aus dem internen Netzwerk wieder an das richtige Gateway zurück senden kann. In diesem Falls ist es das Gateway 10.0.50.1 - die UDMPRo mit dem VLAN50. Alle Anfragen aus dem Netz 10.0.0.0/8 müssen eben darüber wieder zurück gehen können.

Andernfalls laufen Anfragen, z.b. Zugriff auf die WebGUI aus dem internem Netz ins Leere.

• Wenn man sich weiterhin über LAN-1 an der FRITZ!Box anmelden kann, ist alles soweit gut und man sollte jetzt den DHCP-Server der FRITZ!Box deaktivieren.

Das waren alle Vorbereitungen auf Seite der FRITZ!Box, am besten die Box nun einmal neu starten.

3. UDMPro vorbereiten:

• PC ans interne Netzwerk der UDMPro hängen
• Netze / VLAN's wie oben anlegen
• WAN-1 Konfiguration erstellen
  • Einstellungen IPv4 = DHCP
• wenn IPv6 aktiv ist und genutzt werden soll:
  • IPv6 = DHCPv6,
  • Präfix Delegation Size /56 (das ist von Bundesland zu Bundesland unterschiedlich), wenn man mehrere interne Netze nutzen will, sollte der Wert größer gewählt werden. Ich fahre mit /62 recht gut.
• DNS-Server: nach eigenem Wunsch

• Verbindung zwischen der UDMPro WAN-1 und der FRITZ!Box - LAN 2 (oder 3/4 je nach Config oben) herstellen
• Ich empfehle, jetzt die FritzBox und anschließen die UDMPro zu rebooten.
• Die UDMPro sollte nun nach kurzer Zeit die externe IP-Adresse des Anschlusses erhalten

4. Telefonie-Netz einrichten

Bei mir laufen VoIP-Telefone, diese befinden sich im VLAN 50 und haben entsprechend IP-Adresse aus dem 10.0.50.x IP-Pool bekommen.

Der jeweilige Switch-Port, an dem diese Telefone hängen, sind entsprechend auf das Profile "Telko" eingestellt.

Die FRITZ!Box wird nun ebenfalls an einen Switch-Port mit Profil "Telko" angeschlossen - Verbindung zu LAN-1 an der FRITZ!Box, wo vorher der PC zur Konfiguration angeschlossen war.

Aus dem PC-Netz (10.0.20.x) sollte es nun möglich sein, über die IP-Adresse der FRITZ!Box 10.0.50.5 auf die WebGUI zuzugreifen.

Genauso werden die VoIP-Telefone so eingestellt, dass deren Regiestar auf die 10.0.50.5 verweist.

Firewall-Freischaltungen auf der UDMPro sind entsprechend anzulegen (Port 80, 443 aus Privat-Netz -> Telko-Netz, weitere für VoIP, falls genutzt )

Hier noch ein Übersichtsbild, wie bei mir die Verkabelung aussieht:

Hinweise - bitte beachten:

Diese Anleitung bezieht ausschließlich auf eine vom Provider zur Verfügung gestellten FritzBox mit aktiviertem BridgeModus.

Zudem lebe ich im Bundesland NRW, da hier früher Unitymedia der Kabel-Anbieter war und dieser von Vodafone übernommen wurde, kann es gravierende Unterschiede zu anderen Bundesländern in Sachen "Freischaltung BridgeModus" geben - da hilft nur die Hotline von Vodafone weiter.

Bei gekauften FritzBoxen kann das ganze funktionieren, aber muss nicht - ich habe selber gewaltige Probleme mit einer eigenen FritzBox 6660 gehabt und dort den BridgeModus nicht zum laufen bekommen.

Einer der Gründe, warum diese nur bei gemieteten FritzBox + TelefonKomfort-Funktion funktioniert, ist der sog. MaxCPE-Wert.

(MaxCPE = maximum Customer Premises Equipment = maximale Anzahl Kundenseitiger Endgeräte)

Der Wert ist per Default am Standard-Anschluss auf "1" oder "2" eingestellt, es wird aber der Wert "3" benötigt, damit die FritzBox weitere IP-Adressen vom Netz zugewiesen bekommt, eben eine für den Telefonie-Teil und mind. eine weitere für den Internet-Teil über den BridgeModus.

Vodafone ändert dies aber nur für die selber vertriebenen FritzBoxen und NICHT für gekaufte FritzBoxen - Anfragen sind zwecklos.

AVM liefert für den BridgeModus keinerlei Support - Anfragen sind zwecklos und man wird direkt zum Provider verwiesen.

Disclaimer:

Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.

Es gibt keine Garantie auf Erfolg. Im Falle eines Misserfolges hilft aber die Community hier sicherlich weiter.

Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.

Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden.

Eltern haften für ihre Kinder.